知って得するセキュリティのはなし その85
Windowsの脆弱性「Zerologon」、ランサムウェア「Ryuk」による悪用も
1.このニュースをザックリ言うと
- 10月26日(日本時間)、ITMedia NEWSにおいて、9月に発表されたWindowsの重大な脆弱性「Zerologon」がランサムウェアに悪用されているとするレポートが取り上げられています。
- 10月18日のDFIR Reportの報告によれば、2019年に発生したランサムウェア「Ryuk」がZerologonを悪用した攻撃を行っており、発端となったフィッシング詐欺メールが送りつけられてから、わずか5時間で被害者のネットワーク全体が暗号化される事例があったとのことです。
- この事例では、最初に権限を持たないユーザーがマルウェア「Bazar」に感染し、そこからZerologonによって特権を獲得してドメインコントローラ(DC)のパスワードをリセット、さらに別のDCも乗っ取っていき、サーバーやクライアントPCを次々にRyukに感染させていったとしています。
2.執筆者からの所感等
- Zerologonは9月に発表された(AUS便り 2020/09/28号参照)時点で、DC自体およびDC管理下のPCの乗っ取りが可能な非常に危険度が高い脆弱性とされ、米国土安全保障省(DHS)のセキュリティ機関CISAが8月リリース済みのセキュリティパッチを適用するよう全土に緊急指令を出す事態となっています。
- Zerologonの悪用には前段として、攻撃者が別の手段でDCにアクセス可能なネットワーク上に侵入する必要がありますが、その手段としてフィッシング詐欺やマルウェアを組合せることによる攻撃の可能性は、先の発表の時点で時間の問題だったと言えます。
- 企業・組織等、Active DirectoryでPC・アカウントを管理している所で、8月にリリースされたパッチを万が一にも意図せず適用していない状態になっていないか、今からでも関連する全てのサーバーについて確認することが肝要ですし、一旦感染したマルウェア・ランサムウェアの「横感染」等を抑止できるようUTM等を用いた安全なネットワーク構成とすることも是非検討されることが重要です。